Elencare le assegnazioni di ruolo di Microsoft Entra

Questo articolo descrive come elencare i ruoli assegnati in Microsoft Entra ID usando l'interfaccia di amministrazione di Microsoft Entra, Microsoft Graph PowerShell o l'API Microsoft Graph.

Le assegnazioni di ruolo contengono informazioni che collegano una determinata entità di sicurezza (un utente, un gruppo o un principale del servizio dell'applicazione) a una definizione di ruolo. Elencare utenti, gruppi e ruoli assegnati sono autorizzazioni utente predefinite.

Ambiti

In Microsoft Entra ID i ruoli possono essere assegnati in ambiti diversi.

• Le assegnazioni di ruolo nell'ambito del tenant vengono aggiunte e possono essere visualizzate nella lista delle singole assegnazioni di ruolo dell'applicazione.
• Le assegnazioni di ruolo nell'ambito di una singola applicazione non vengono aggiunte e non possono essere visualizzate nell'elenco delle assegnazioni con ambito tenant.

Prerequisiti

• modulo di PowerShell di Microsoft Graph PowerShell quando si usa PowerShell
• Consenso amministratore quando si usa Graph Explorer per l'API Microsoft Graph

Per altre informazioni, vedere Prerequisiti per l'uso di PowerShell o Graph Explorer.

Elencare le assegnazioni di ruolo di Microsoft Entra

centro di amministrazione

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Elencare le assegnazioni di ruolo

È facile elencare anche le proprie autorizzazioni. Sulla pagina Ruoli e amministratori, selezionare Il tuo ruolo per visualizzare i ruoli attualmente assegnati.

Elencare le assegnazioni di ruolo per un utente

Seguire questa procedura per elencare i ruoli di Microsoft Entra per un utente usando l'interfaccia di amministrazione di Microsoft Entra. L'esperienza sarà diversa a seconda che sia Microsoft Entra Privileged Identity Management (PIM) abilitato.

1. Accedi all'Interfaccia di amministrazione di Microsoft Entra.

2. Navigare fino a Identity>Users>Tutti gli utenti.

3. Selezionare nome utente>Ruoli assegnati.

   È possibile visualizzare l'elenco dei ruoli assegnati all'utente in ambiti diversi. Inoltre, è possibile verificare se il ruolo è stato assegnato direttamente o tramite un gruppo.

   

   Se si dispone di una licenza Microsoft Entra ID P2, verrà visualizzata l'esperienza PIM, che include i dettagli delle assegnazioni di ruolo idonee, attive e scadute.

   

Elencare le assegnazioni di ruolo per un gruppo

1. Accedi all'Interfaccia di amministrazione di Microsoft Entra.

2. Sfogliare fino a Gruppi di identità>>Tutti i gruppi.

3. Selezionare un gruppo a cui possono essere assegnati ruoli.

   Per determinare se un gruppo è assegnabile ai ruoli, è possibile visualizzare le proprietà per il gruppo.

4. Selezionare Ruoli assegnati.

   È ora possibile visualizzare tutti i ruoli di Microsoft Entra assegnati a questo gruppo. Se non vedi l'opzione Ruoli assegnati, il gruppo non è un gruppo per l'assegnamento dei ruoli.

   

Scarica assegnazioni di ruolo

Per scaricare tutte le assegnazioni di ruolo attive in tutti i ruoli, inclusi i ruoli predefiniti e personalizzati, seguire questa procedura.

Le operazioni bulk possono essere eseguite solo per un massimo di 1 ora e presentano limitazioni nei grandi clienti. Per ulteriori informazioni, vedere operazioni in blocco e creare utenti in blocco in Microsoft Entra ID.

1. Nella pagina Ruoli e amministratori selezionare Tutti i ruoli.

2. Selezionare Scarica assegnazioni.

   

3. Specificare un nome file e selezionare Avvia download.

   Viene scaricato un file CSV che elenca le assegnazioni in tutti gli ambiti per tutti i ruoli.

Per scaricare le assegnazioni di ruolo per un ruolo specifico, seguire questa procedura.

1. Nella pagina Ruoli e amministratori selezionare un ruolo.

2. Selezionare Scarica assegnazioni.

   Se si ha una licenza Microsoft Entra ID P2, verrà visualizzata l'esperienza PIM. Seleziona Esporta per scaricare le assegnazioni di ruolo.

   Un file CSV che elenca le assegnazioni in tutti gli ambiti per tale ruolo viene scaricato.

Elencare le assegnazioni di ruolo con ambito tenant

Questa procedura descrive come elencare le assegnazioni di ruolo con ambito tenant.

1. Accedi all'Interfaccia di amministrazione di Microsoft Entra.

2. Passare a Identità>Ruoli e amministratori>Ruoli e amministratori.

3. Selezionare un nome di ruolo per aprire il ruolo. Non aggiungere un segno di spunta accanto al ruolo.

   

4. Selezionare Assegnazioni per elencare le assegnazioni di ruolo.

   

5. Nella colonna Ambito, vedere le assegnazioni di ruolo con ambito Directory.

Elencare le assegnazioni di ruolo nell'ambito della registrazione dell'app

Questa sezione descrive come elencare le assegnazioni di ruolo con ambito applicazione singola.

1. Accedi all'Interfaccia di amministrazione di Microsoft Entra.

2. Passare a Identità>Applicazioni>Registrazioni app.

3. Selezionare una registrazione dell'applicazione per l'elenco delle assegnazioni di ruolo da visualizzare.

   Potrebbe essere necessario selezionare Tutte le applicazioni per visualizzare l'elenco completo delle registrazioni delle app nell'organizzazione Microsoft Entra.

4. Selezionare Ruoli e amministratori.

5. Selezionare il nome di un ruolo per aprire il ruolo.

6. Selezionare Assegnazioni per elencare le assegnazioni di ruolo.

   L'apertura della pagina assegnazioni dall'interno della registrazione dell'app mostra le assegnazioni di ruolo che hanno come ambito questa risorsa Microsoft Entra.

   

7. Nella colonna Ambito, consulta le assegnazioni di ruolo nell'ambito di Questa risorsa.

Elencare le assegnazioni di ruolo nell'ambito di un'unità amministrativa

È possibile visualizzare tutte le assegnazioni di ruolo create con un ambito di unità amministrativa nella sezione Unità di amministrazione del centro di amministrazione Microsoft Entra.

1. Accedi all'Interfaccia di amministrazione di Microsoft Entra.

2. Navigare fino a Identità>Ruoli & amministratori>Unità amministrative.

3. Selezionare un'unità amministrativa per l'elenco delle assegnazioni di ruolo da visualizzare.

4. Selezionare Ruoli e amministratori.

5. Selezionare un nome di ruolo per aprire il ruolo.

6. Selezionare Assegnazioni per elencare le assegnazioni di ruolo.

   

7. Nella colonna Ambito, vedere le assegnazioni di ruolo all'ambito di Questa risorsa.

PowerShell

Questa sezione descrive la visualizzazione delle assegnazioni di un ruolo con ambito tenant. Questa sezione utilizza il modulo di Microsoft Graph PowerShell.

Configurazione

1. Installare il modulo Microsoft Graph usando Install-Module.

   Install-Module -name Microsoft.Graph
   

2. Usare il comando Connect-MgGraph per accedere e usare i cmdlet di PowerShell di Microsoft Graph.

   Connect-MgGraph
   

Elencare le assegnazioni di ruolo con ambito a livello di tenant

Usare i comandi Get-MgRoleManagementDirectoryRoleDefinition e Get-MgRoleManagementDirectoryRoleAssignment per elencare le assegnazioni di ruolo.

Nell'esempio seguente viene illustrato come elencare le assegnazioni di ruolo per il ruolo Amministratore gruppi.

# Get a specific directory role by ID
$role = Get-MgRoleManagementDirectoryRoleDefinition -UnifiedRoleDefinitionId fdd7a751-b60b-444a-984c-02652fe8fa1c

# Get role assignments for a given role definition
Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /

Nell'esempio seguente viene illustrato come elencare tutte le assegnazioni di ruolo attive in tutti i ruoli, inclusi i ruoli predefiniti e personalizzati.

$roles = Get-MgRoleManagementDirectoryRoleDefinition
foreach ($role in $roles)
{
  Get-MgRoleManagementDirectoryRoleAssignment -Filter "roleDefinitionId eq '$($role.Id)'"
}

Id                                            PrincipalId                          RoleDefinitionId                     DirectoryScopeId AppScop
                                                                                                                                         eId
--                                            -----------                          ----------------                     ---------------- -------
lAPpYvVpN0KRkAEhdxReEH2Fs3EjKm1BvSKkcYVN2to-1 aaaaaaaa-bbbb-cccc-1111-222222222222 62e90394-69f5-4237-9190-012177145e10 /
lAPpYvVpN0KRkAEhdxReEMdXLf2tIs1ClhpzQPsutrQ-1 bbbbbbbb-cccc-dddd-2222-333333333333 62e90394-69f5-4237-9190-012177145e10 /
4-PYiFWPHkqVOpuYmLiHa3ibEcXLJYtFq5x3Kkj2TkA-1 cccccccc-dddd-eeee-3333-444444444444 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
4-PYiFWPHkqVOpuYmLiHa2hXf3b8iY5KsVFjHNXFN4c-1 dddddddd-eeee-ffff-4444-555555555555 88d8e3e3-8f55-4a1e-953a-9b9898b8876b /
BSub0kaAukSHWB4mGC_PModww03rMgNOkpK77ePhDnI-1 eeeeeeee-ffff-aaaa-5555-666666666666 d29b2b05-8046-44ba-8758-1e26182fcf32 /
BSub0kaAukSHWB4mGC_PMgzOWSgXj8FHusA4iaaTyaI-1 ffffffff-aaaa-bbbb-6666-777777777777 d29b2b05-8046-44ba-8758-1e26182fcf32 /

Elencare le assegnazioni di ruolo per un principale

Usare il comando PowerShell Get-MgRoleManagementDirectoryRoleAssignment per elencare le assegnazioni di ruolo per un utente.

# Get role assignments for a given principal
Get-MgRoleManagementDirectoryRoleAssignment -Filter "PrincipalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'"

Elencare le assegnazioni di ruolo diretto e transitivo per un principale

Usare l'API List transitiveRoleAssignments per assegnare i ruoli direttamente e transitivamente a un utente.

$response = $null
$uri = "https://graph.microsoft.com/beta/roleManagement/directory/transitiveRoleAssignments?`$count=true&`$filter=principalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'"
$method = 'GET'
$headers = @{'ConsistencyLevel' = 'eventual'}

$response = (Invoke-MgGraphRequest -Uri $uri -Headers $headers -Method $method -Body $null).value

Elencare le assegnazioni di ruolo per un gruppo

Usare il comando Get-MgGroup per ottenere un gruppo.

Get-MgGroup -Filter "DisplayName eq 'Contoso_Helpdesk_Administrators'"

Usare il comando Get-MgRoleManagementDirectoryRoleAssignment per elencare le assegnazioni di ruolo per il gruppo.

Get-MgRoleManagementDirectoryRoleAssignment -Filter "PrincipalId eq '<object id of group>'" 

Elencare le assegnazioni di ruolo nell'ambito di unità amministrativa

Usare il comando Get-MgDirectoryAdministrativeUnitScopedRoleMember per elencare le assegnazioni di ruolo con ambito nell'unità amministrativa.

$adminUnit = Get-MgDirectoryAdministrativeUnit -Filter "displayname eq 'Example_admin_unit_name'"
Get-MgDirectoryAdministrativeUnitScopedRoleMember -AdministrativeUnitId $adminUnit.Id | FL *

Graph API

Questa sezione descrive come elencare le assegnazioni di ruolo a livello di tenant. Utilizzare l'API List unifiedRoleAssignments per ottenere le assegnazioni di ruolo.

Lista delle assegnazioni di ruolo per un principale

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=principalId+eq+'<object-id-of-principal>'

Response

HTTP/1.1 200 OK
{
"value":[
            { 
                "id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
                "directoryScopeId": "/"  
            } ,
            {
                "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "fe930be7-5e62-47db-91af-98c3a49a38b1",
                "directoryScopeId": "/"
            }
        ]
}

Elenca le assegnazioni di ruolo dirette e transitive per un principale

Seguire questa procedura per elencare i ruoli di Microsoft Entra assegnati a un utente usando l'API Microsoft Graph in Graph Explorer.

1. Accedi al Graph Explorer.

2. Usare l'API List transitiveRoleAssignments per assegnare i ruoli direttamente e transitivamente a un utente. Aggiungere la query seguente all'URL.

   GET https://graph.microsoft.com/beta/rolemanagement/directory/transitiveRoleAssignments?$count=true&$filter=principalId eq 'aaaaaaaa-bbbb-cccc-1111-222222222222'
   

3. Navigare alla scheda intestazioni di richiesta. Aggiungere ConsistencyLevel come chiave e Eventual come valore.

4. Selezionare Esegui query.

Elencare le assegnazioni di ruolo per un gruppo

Usare l'API Get group per ottenere un gruppo.

GET https://graph.microsoft.com/v1.0/groups?$filter=displayName+eq+'Contoso_Helpdesk_Administrator'

Usare l'API list unifiedRoleAssignments per ottenere l'assegnazione di ruolo.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=principalId eq

Elencare le assegnazioni di ruolo per una definizione di ruolo

Nell'esempio seguente viene illustrato come elencare le assegnazioni di ruolo per una definizione di ruolo specifica.

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=roleDefinitionId eq '<template-id-of-role-definition>'

Response

HTTP/1.1 200 OK
{
    "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "00000000-0000-0000-0000-000000000000",
    "directoryScopeId": "/"
}

Elencare un'assegnazione di ruolo in base all'ID

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments/lAPpYvVpN0KRkAEhdxReEJC2sEqbR_9Hr48lds9SGHI-1

Response

HTTP/1.1 200 OK
{ 
    "id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
    "directoryScopeId": "/"
}

Elenca le assegnazioni di ruolo con ambito di registrazione dell'applicazione

GET https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments?$filter=directoryScopeId+eq+'/d23998b1-8853-4c87-b95f-be97d6c6b610'

Response

HTTP/1.1 200 OK
{
"value":[
            { 
                "id": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0uIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "10dae51f-b6af-4016-8d66-8c2a99b929b3",
                "directoryScopeId": "/d23998b1-8853-4c87-b95f-be97d6c6b610"
            } ,
            {
                "id": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1wIiSDKQoTVJrLE9etXyrY0-1"
                "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
                "roleDefinitionId": "00000000-0000-0000-0000-000000000000",
                "directoryScopeId": "/d23998b1-8853-4c87-b95f-be97d6c6b610"
            }
        ]
}

Elencare le assegnazioni di ruolo con ambito unità amministrativa

Usare l'API list scopedRoleMembers per elencare le assegnazioni di ruolo con ambito dell'unità amministrativa.

Richiesta

GET /directory/administrativeUnits/{admin-unit-id}/scopedRoleMembers

Corpo

{}

Passaggi successivi

• È possibile condividere con Microsoft nel forum dei ruoli amministrativi di Microsoft Entra.
• Per altre informazioni sulle autorizzazioni dei ruoli, vedere ruoli predefiniti di Microsoft Entra.
• Per le autorizzazioni utente predefinite, vedere un confronto tra le autorizzazioni predefinite per gli utenti guest e quelle per gli utenti membro.